,

Lohnt es sich über das Thema „Internet-Sicherheit“ nachzudenken ? – Teil 2

Bildlink-Pfeil     Sie sind hier:  Startseite > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 1 > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 2

Wie sieht es mit dem Schutz Ihrer persönlichen Daten im Internet aus ?

Es gibt sehr umfassende und scheinbar eindeutige Datenschutzgesetze. Scheinbar deshalb, weil die tatsächliche Anwendung der jeweiligen Gesetze auf praxisrelevante Vorkommnisse, wie etwa elektronische Einbrüche oder Verbraucher- und Datenschutzverletzungen, gar nicht so eindeutig ist.

Dies hat unter anderem folgende Gründe:

  • Das Internet macht es sehr schwer, den Computer-Kriminellen zu fassen.
    Vergleichen Sie die Struktur des Internets mit einem Straßenverkehrsnetz: Um schnell ans Ziel zu kommen, würden Sie bestimmt über die kürzeste Autobahnverbindung dorthin fahren. Im Internet können Ihre Daten bzw. deren einzelne Datenpakete die verschiedensten Wege nehmen, auch Umwege über amerikanische Server sind möglich. Damit wird es sehr schwer, die Daten zurückzuverfolgen. Weitere Gründe sind kostenlose Probe-Accounts bei entsprechenden Providern und kostenlose E-Mail-Adressen, deren Besitzer sich als "Zangenbeißer" oder mit ähnlichen Phantasienamen betiteln. 
  • Die Beweisführung ist oftmals schwierig.
    Die Server-Logfiles und andere technische Protokolle können verändert und somit selten als Beweismittel anerkannt werden. Häufig werden die Protokoll-Systeme von Crackern sogar derart manipuliert, daß der Einbruch anhand der Log-Files gar nicht erkannt werden kann. Ein weiterer Grund ist der, daß sich die Technik schneller fortentwickelt, als die Gesetze an den jeweils aktuellen technischen Stand angepaßt werden können. Dies hat zur Folge, daß dadurch die Anwälte und Richter mit den technischen Details der Beweisführung oftmals überfordert sind. 
  • Gesetze greifen nur dann,  wenn die Daten besonders gesichert waren.
    Im normalen Leben ist ein Einbruch ein klarer Straftatbestand, bei dessen Erfüllung der Täter, welcher überführt worden ist, dem Gesetze entsprechend für die Tat einzustehen hat.
    Im Falle eines elektronischen Einbruchs greifen die Gesetze nur, wenn die betroffenen Daten besonders gesichert waren  (§ 202 Absatz 1 des 2. Gesetzes zur Bekämpfung der Wirtschaftskriminalität). Unter besonders gesicherten Daten versteht man Daten, zu denen der Zugang nur über ein Paßwort oder mit Hilfe einer Verschlüsselung möglich ist. Kann der Datendieb beweisen, daß die Daten völlig unzureichend oder überhaupt nicht gesichert waren, hat er normalerweise keine Konsequenzen zu befürchten.

Um die Problematik noch mehr zu verdeutlichen, soll folgendes Beispiel dienen: Sie können sich beispielsweise beim Download und der anschließenden Installation von Free- und Sharewareprogrammen ein darin verstecktes trojanisches Pferd einfangen. Die darin programmierten Spionagefunktionen haben meist die Aufgabe, Ihre vertraulichen Daten offline zu sammeln, um sie dann, wenn Sie online sind, an den Datendieb zu versenden. Das größte Problem daran ist, daß diese Spionageattacken in der Regel von Ihnen völlig unbemerkt im Hintergrund ablaufen. Das liegt zum einen daran, daß sich diese Spionageprogramme gut auf Ihrem System verstecken und nur mit speziellen Hilfsprogrammen sichtbar werden und zum anderen, daß Ihre vertraulichen Daten nur kopiert werden, so daß Sie deren Verlust nicht bemerken. Auch Sicherungsmaßnahmen wie das Verschlüsseln der Anwendungsdaten sind hier in der Regel nicht wirksam, da Sie diese zur Bearbeitung ja entschlüsseln müssen und sie dann auch vom Spionageprogramm gelesen werden können.

Ein großes Problem ist, daß Sie als Opfer solcher Spionageattacken nur sehr begrenzte strafrechtliche Möglichkeiten besitzen, mit denen Sie gegen den Datendieb vorgehen können. Als Straftat kommt hierfür in erster Linie das "Ausspähen von Daten" (§ 202 a StGB) in Betracht, wobei nur die vollendete Tat, nicht aber der Versuch strafbar ist. Wird eine vollendete Tat nachgewiesen, so muß der Datendieb mit bis zu drei Jahren Haft rechnen. Der Tatbestand ist bereits dann erfüllt, wenn die Daten auf dem Bildschirm des Datendiebs erscheinen. Dazu muß allerdings, wie bereits erwähnt, sichergestellt sein, daß die Daten gegen einen unberechtigten Zugang besonders gesichert waren. Um von besonders gesicherten Daten zu sprechen, reicht bereits eine Sicherung auf niedrigster Stufe aus, das bedeutet Zugangskontrollen durch Passwörter oder Schutz der Daten vor dem Zugriff von Unbefugten durch Verschlüsselung. Ein trojanisches Pferd hat aber in der Regel die gleichen Zugriffsrechte auf Dateien wie das Opfer.

Auch die Straftat der Datenveränderung (§ 303 a StGB) kann dem Entwickler eines trojanischen Pferds, das nur zur Datenspionage dient, nicht unterstellt werden. Laut dieser Vorschrift macht sich nämlich jeder strafbar, der rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert. Ein spionierender Trojaner protokolliert und kopiert die Daten; das bedeutet, daß er sie weder löscht, unterdrückt noch unbrauchbar macht. Auch die  Datenveränderung auf der Festplatte oder im Arbeitsspeicher (RAM) durch die Installation des Trojaners ist zwar prinzipiell erfüllt, erfolgt aber nicht durch den Datendieb, sondern dadurch, daß der Anwender diesen (unbewußt) installiert. Auch eine Computersabotage nach § 303 b StGB liegt nicht vor, da sie eine Störung des Betriebs voraussetzt. Da der Anwender den Trojaner aber nicht wahrnimmt, während dessen Spionagebefehle ausgeführt werden, kann ihn dieser nicht stören. 

Eine Straftat, nämlich ein Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb (§ 17 UWG), liegt unter bestimmten Umständen vor. Dazu muß es sich allerdings bei den ausspionierten Daten um Betriebs- oder Geschäftgeheimnisse handeln und der Datendieb muß diese zum Zwecke des Wettbewerbs, aus Eigennutz, zu Gunsten eines Dritten oder in Schädigungsabsicht verwenden.
Ob eine Straftat vorliegt oder nicht, könnte erst konkret entschieden werden, wenn das Spionageprogramm entdeckt und seine Arbeitsweise analysiert wurde. Gerade dies dürfte vor allem weniger versierten Anwendern sehr schwer fallen, da diese Programme versteckt im Hintergrund arbeiten und nur wenige Anwender über ein entsprechendes programmiertechnisches Hintergrundwissen verfügen. Aber selbst wenn der Trojaner ausfindig gemacht wird, liegt häufig noch keine Straftat vor, wie Sie den vorangegangenen Ausführungen entnehmen konnten. 
Die beste Schutzmaßnahme ist, daß Sie keine Programme aus unbekannten Quellen herunterladen und installieren oder, wenn es aus irgendwelchen Gründen unbedingt sein muß, diese zumindest vorher mit einem aktuellen Virenscanner überprüfen.  


Fazit:

Jeder sollte einmal darüber nachdenken, welche Folgen es hätte, wenn sein Computer für einige Tage oder gar länger ausfällt und/oder wichtige Informationen unwiederbringlich verloren gehen.

Workshop - das Basis-Sicherheitskonzept

Ganz besonders lohnt es sich einmal über die folgenden Argumente nachzudenken: 

  • Viele verlassen sich blind auf die vorhandenen Schutztechnologien. Nach der Installation der Firewall, des Virenscanners und des Backup-Programms ist das Thema "IT-Sicherheit" abgeschlossen – ohne darüber nachzudenken, daß jeder Technologie Grenzen gesetzt sind. So lassen sich Zugriffe auf P2P- oder Instant Messaging-Dienste und die dabei ausgetauschten Daten nicht mit Firewalls überwachen, genauso wenig wie ein Virenscanner unbekannte Viren (von denen jeden Tag neue in Umlauf gebracht werden) erkennen kann. Was nützt ein Backup, bei dem der Virus mitgesichert wurde ? 

  • Die Sicherheit eines IT-Systems hängt ganz wesentlich vom Gefahrenbewußtsein des Benutzers ab. Für viele Sicherheitsrisiken gibt es nur begrenzte oder (noch) gar keine technischen Schutzmöglichkeiten. Diese Risiken können nur durch gefahrenbewußte Anwender, die entsprechende Schutzmaßnahmen konsequent treffen, vermindert bzw. vermieden werden.

  • Falls Ihr IT-System nicht oder nur ungenügend gesichert ist, können Sie keinesfalls sicher behaupten, daß Ihre Daten/Informationen nicht ausspioniert werden. 
    Bei einem gestohlenen Papierdokument fällt der Verlust wenigstens noch auf, bei digitalen Medien geschieht der Diebstahl in der Regel völlig unbemerkt. Wie soll ein Anwender, der die Gefahrenquellen, die bei IT-Systemen mit Internetzugang ohne Zweifel vorhanden sind, nicht kennt, beispielsweise wissen, daß beim Öffnen eines E-Mail-Anhangs ein trojanisches Pferd installiert werden kann, geschweige denn, ob ein solches Spionageprogramm unbemerkt im Hintergrund abläuft, vertrauliche Daten ausspäht, kopiert und an den Angreifer versendet ?

  • Sie haben als Opfer von elektronischen Schad- und Spionageattacken nur sehr begrenzte strafrechtliche Möglichkeiten, mit denen Sie gegen den Angreifer vorgehen können.

  • Wenn Sie Ihren Einzelplatzrechner innerhalb eines lokales Netzwerks ohne Zugang zu öffentlichen Netzwerken wie das Internet benutzen, können allenfalls Ihre Arbeitskollegen unerlaubt auf Ihren Rechner zugreifen; verwenden Sie den Rechner zuhause, so sind es Familienmitglieder oder vielleicht noch Freunde oder Bekannte; dies können Sie jedoch relativ leicht durch entsprechende Zugangskontrollen verhindern.
    Nehmen Sie diesen Rechner aber und verbinden ihn mit dem Internet, dann ist die Zahl der möglichen Täter im Millionenbereich, und diese können jederzeit von jedem beliebigen Ort aus angreifen. 
    Hierbei sind speziell Unternehmen mit sicherheitsrelevanten Daten, die der Konkurrenz sehr nützlich sein könnten, durch Industriespionage gefährdet. Gingen vor wenigen Jahren die Angriffe hauptsächlich von Studenten oder häufig noch jugendlichen Crackern aus, die allein aus Neugier in fremde Systeme eindrangen, sind durch die weitere Verbreitung des Internets heute auch professionelle Datendiebe tätig, die beispielsweise für Industriespionage von der Konkurrenz bezahlt werden.

Bildlink-Pfeil     Sie sind hier:  Startseite  > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 1 > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 2

,

Lohnt es sich über das Thema „IT-Sicherheit“ nachzudenken ? – Teil 1

Bildlink-Pfeil     Sie sind hier:  Startseite > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 1 > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 2

Der Computer und das Internet bietet uns vielfältige Möglichkeiten um Menschen mit gleichen Zielen und Überzeugungen zu finden und im Rahmen entsprechender Netzwerkprojekte Gutes zu tun.

Mit Hilfe eines Computers mit Internetzugang können Menschen von zuhause aus, unterwegs oder auch (im Notfall) vom Internet-Cafe aus zu jeder Tages- und Nachtzeit konstruktiv zusammenarbeiten bzw. an wichtigen Diskussionen und Entscheidungen teilnehmen

Auf diesem Wege können wir beispielsweise:

  • innovative Produkte und Dienste realisieren, zu denen ein Einzelner nicht in der Lage wäre

  • ungewöhnliche Ideen gemeinsam mit anderen ausprobieren und umsetzen

  • gemeinsam mit anderen etwas bewegen, was dem Einzelnen nicht gelingen kann, beispielsweise sich gegen politische oder wirtschaftliche Entscheidungen stellen, die den Wettbewerb der kleinen mit den großen Unternehmen behindern

  • komplexe Produkte und Dienstleistungen, die vielfältige Problemlösungskompetenzen erfordern, aus einer Hand anbieten

    Wenn viele Einzelne an einem Strang ziehen, können sie in einer echten Wettbewerbswirtschaft (nicht Beziehungswirtschaft) den Großunternehmen Paroli bieten

  • Rationalisierungsmöglichkeiten (bessere Konditionen, günstigere Preise, Mengenrabatt,…) durch einen Großeinkauf  erschließen

Die Kooperation im Rahmen von Netzwerken (anstatt Hierarchien) kombiniert mit den Möglichkeiten, die uns die modernen Informations- und Kommunikationstechnologien bieten, eröffnet uns eine völlig andere Dimension der zwischenmenschlichen Zusammenarbeit.

Wir können weitestgehend zeit- und ortsunabhängig zusammenarbeiten und wir müssen uns nicht jedes mal mit großem Zeit- und Arbeitsaufwand zeitlich und örtlich abstimmen. Durch die kompetente Anwendung der modernen Informations- und Kommunikationstechnologien entfällt der Aufwand für die Organisation der Zusammenarbeit weitestgehend und somit bleibt mehr Zeit für das Wesentliche, nämlich die Inhalte.

Leider ist dieser Anschluß an das Internet ohne entsprechende Maßnahmen zum Schutz und zur Sicherheit der auf dem Computer gespeicherten Informationen mit Gefahren verbunden, weil so zahlreiche Türen in das System geöffnet werden, die sonst verschlossen sind.

Wenn Sie Ihren Einzelplatzrechner innerhalb eines lokalen Netzwerks ohne Zugang zu öffentlichen Netzwerken wie das Internet benutzen, können allenfalls Ihre Arbeitskollegen unerlaubt auf Ihren Rechner zugreifen; verwenden Sie den Rechner zuhause, so sind es Familienmitglieder oder vielleicht noch Freunde oder Bekannte. Dies können Sie jedoch relativ leicht durch entsprechende Zugangskontrollen verhindern.

Workshop - das Basis-Sicherheitskonzept

Nehmen Sie diesen Rechner aber und verbinden ihn mit dem Internet, dann ist die Zahl der möglichen Täter im Millionenbereich, und diese können jederzeit von jedem beliebigen Ort aus angreifen. Ein weitere Gefahrenquelle ist die Komplexität heutiger Netzwerke, die aus einer Vielzahl von Einzelkomponenten wie Betriebssystemen, Anwendungsprogrammen,  Übertragungsprotokollen und Netzwerkgeräten bestehen und so Datendieben ein breites Betätigungsfeld bieten. Dieses besteht darin, die Sicherheitslücken in einem IT-System, die durch Installations-, Konfigurations- und Bedienfehler der Anwender oder durch Programmierfehler der Hersteller entstanden sind, auszunützen, um so an vertrauliche Daten zu gelangen oder das betreffende IT-System zu sabotieren. 

Vergleicht man die Möglichkeiten der Online-Kriminalität mit denen der Offline-Kriminalität, so bietet letztere zweifelsohne wesentlich mehr und einfachere Wege. In ein wenig gesichertes Haus einzubrechen und die Beute anschließend gegen Bargeld zu verkaufen, ist für den Dieb wesentlich einfacher und sicherer als in ein ungenügend gesichertes IT-System (Web-Server) einzudringen und beispielsweise mit den erbeuteten Zugangsdaten den jeweiligen Dienst auf Kosten des Opfers zu nutzen. 

In einem bestimmten Bereich allerdings, der vor allem für die Wirtschaftskriminalität von hoher Bedeutung ist, sind Online-Angriffe äußerst effektiv, nämlich um wichtige Informationen auszuspionieren oder gezielt Informationen zu verfälschen bzw. zu löschen. Man kann sich leicht vorstellen, was ein trojanisches Pferd für Schäden anrichten kann, wenn es sich geschickt im System verbirgt und über lange Zeit streng vertrauliche Projekt- und Geschäftsdaten kopiert und an den Angreifer, beispielsweise per E-Mail, weiterleitet, während das Opfer online
Die Daten und Informationen können natürlich auch während der Übertragung via Internet oder auf dem Zielrechner (Server) ausspioniert oder, noch schlimmer, verändert werden. Gerade dann, wenn Daten und Informationen nur kopiert werden, bekommen es die meisten nicht einmal mit, wenn ihre vertraulichen Inhalte in unberechtigte Hände gelangen. Dies wird übrigens ein wesentlicher Grund dafür sein, daß dem Thema "Datenschutz und IT-Sicherheit" vergleichsweise wenig Beachtung geschenkt wird – es handelt sich um eine weitestgehend unsichtbare Gefahr.

 

Eine besonders unfaire Methode wäre es, mit Hilfe von schädigenden Funktionen bzw. Befehlen wichtige Geschäftinformationen so zu fälschen, daß der Schaden groß wäre, dieser aber nur sehr schwer bzw. erst nach langer Zeit erkannt werden kann. Ein weiteres großes Risiko neben den gezielten Spionage- und Schadangriffen sind breit gestreute Angriffe (Verteilung von Viren und Würmern, Denial-of-Service-Attacken,…), die nur ein Ziel verfolgen: völlig unkontrolliert möglichst viele Systeme zu erwischen. Dazu sind Schad- und Spionageprogramme häufig so programmiert, daß sie sich selbständig im Namen des Betroffenen an die in seinem Adressbuch stehenden Personen verschicken und sich so rasch weiterverbreiten. Neben Schad- und Spionageprogrammen kann ein Unternehmen auch großen Schaden erleiden, wenn zentrale Funktionen, wie etwa das E-Mail-System sabotiert werden, beispielsweise, indem es mit unnützen Daten regelrecht überflutet wird. 

Diese Angriffe bzw. Attacken werden nicht nur von Profis verübt, sondern auch von Hobby-Crackern. Das kommt daher, daß immer weniger Fachwissen notwendig ist, um solche Angriffe durchzuführen. Die dafür notwendigen Programme und Tools werden von Profis entwickelt und via Internet veröffentlicht. Für manche dieser Programme benötigt man lediglich eine IP–Adresse oder einen Hostnamen, und schon kann man mit einem Mausklick einen Angriff starten. Nutzt das betreffende Programm zu diesem Angriff eine erst kürzlich bekannt gewordene Sicherheitslücke, so kann es durchaus passieren, daß noch gar kein Sicherheits-Patch existiert.

Eine besonders große Gefahr sind Schad- und Spionageprogramme (Viren, Würmer, Trojanische Pferde), die beispielsweise über E-Mails und daran angehängte Programmdateien oder per Downloads von unbekannten Quellen (P2P-Clients, FTP-Server, Internetseiten,…) auf die lokale Festplatte gelangen können. Werden diese (Viren)-Programme dann gestartet und ausgeführt, können sie je nach den darin enthaltenen Befehlen das System schädigen (wichtige Dateien zerstören, die komplette Festplatte formatieren,…) oder wichtige Daten (Paßwörter, …) und Informationen (Entwicklungspläne, Kundendaten, Umsatzzahlen,…) ausspionieren. 

Die Schäden, die ein Angreifer verursachen kann, können in folgende Bereiche eingeteilt werden:

  • Vertraulichkeit: Der Angreifer konnte Informationen einsehen, die nur für einen bestimmten Personenkreis zugelassen sind, dem er aber nicht angehört.
  • Unversehrtheit (Integrität): Der Angreifer konnte den Inhalt von Dateien verändern. 
  • Authentizität: Der Angreifer konnte eine falsche Identität glaubwürdig vortäuschen. 
  • Verfügbarkeit: Dem Angreifer ist es gelungen, Dateien zu löschen, beispielsweise wichtige Systemdateien, ohne die das IT-System nicht korrekt arbeiten kann, oder Dienste (Web-Server, Router,…) so zu verfälschen, daß sie nicht mehr im Rahmen der Anforderungen nutzbar sind (Denial-of-Service).   

Bildlink-Pfeil     Sie sind hier:  Startseite > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 1 > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 2